NIS2-Leitfaden für Unternehmen (PDF): Diese Maßnahmen sind jetzt wichtig, wenn Sie betroffen sind

Für wen ist der NIS2-Leitfaden gedacht?

NIS2 betrifft nicht mehr nur „klassische Kritische Infrastrukturen“. Der Kreis der betroffenen Organisationen wird deutlich erweitert – und viele Unternehmen müssen selbst prüfen, ob sie unter die Richtlinie fallen und welche Pflichten daraus entstehen.

Use-Cases NIS2 - Kurzliste

‍Der Leitfaden ist besonders hilfreich, wenn Sie …

• klären möchten, ob Ihr Unternehmen betroffen ist (Sektor + Unternehmensgröße)
• eine erste Umsetzungs-Roadmap für Sicherheitsmaßnahmen und Zuständigkeiten brauchen
• wissen wollen, welche Melde- und Registrierungspflichten Sie organisatorisch absichern müssen

Betroffenheit in 2 Minuten einordnen

Die Richtlinie gilt grundsätzlich für Organisationen in definierten Sektoren – und greift in vielen Fällen ab mittlerer Unternehmensgröße („size-cap rule“). Mittlere Unternehmen: mind. 50 Beschäftigte oder mind. 10 Mio. € Umsatz. Große Unternehmen: mind. 250 Beschäftigte oder mind. 50 Mio. € Umsatz.

Beispiele für Sektoren (Auszug): u. a. Energie, Verkehr, Bankwesen, Gesundheit, Trinkwasser/Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), Anbieter digitaler Dienste.

Hinweis: Die finalen Details hängen von Ihrer konkreten Einordnung ab – der Leitfaden hilft bei der ersten Struktur.

Welche Maßnahmen werden verlangt?

NIS2 verlangt von betroffenen Unternehmen mindestens Maßnahmen rund um Risikoanalyse, Vorfallmanagement, Business Continuity, Lieferkette, Secure Development, Wirksamkeitsprüfung, Schulungen, Kryptografie, Zugriffskontrolle und sichere Kommunikationswege.

‍Im Leitfaden erhalten Sie dazu eine verständliche Einordnung, u. a.:

• Risikoanalyse & Sicherheitskonzepte aufsetzen
• Sicherheitsvorfälle verhindern, erkennen, analysieren, eindämmen
• Betrieb aufrechterhalten (Business Continuity)
• Lieferkette absichern (auch vertraglich)

Meldepflichten & Registrierung: das sollten Sie organisatorisch früh klären

Erhebliche Sicherheitsvorfälle müssen umgehend gemeldet werden – mit klaren Fristen (Frühwarnung/weitere Meldungen/Abschlussbericht). Zusätzlich kann eine Registrierung erforderlich sein.

Der Leitfaden zeigt die Fristen im Überblick und was Sie intern vorbereiten sollten:

• Spätestens 24 Std. nach Kenntnisnahme: Frühwarnung
• Spätestens 72 Std. nach Kenntnisnahme: aktualisierte Meldung
• Spätestens innerhalb eines Monats: Abschlussbericht

Was droht bei Verstößen?

Bei Nicht-Einhaltung drohen empfindliche Sanktionen (je nach Einordnung u. a. bis zu 7 Mio. €/10 Mio. € oder umsatzbezogene Bußgelder; in besonders schweren Fällen höhere Summen). Zusätzlich werden persönliche Haftungsrisiken für Führungskräfte betont; Behörden können unter Umständen auch Maßnahmen bis hin zur Anordnung eines Aussetzens des Geschäftsbetriebs ergreifen.

Inhalt des NIS2-Leitfadens (PDF)

• Status quo IT-Sicherheitslage & warum NIS2 jetzt relevant ist
• NIS2 im Kurzüberblick (Neuerungen, Pflichten, Aufsicht)
• Betroffenheit: Sektoren + „size-cap rule“ verständlich erklärt
• Maßnahmen zum Risikomanagement (Praxis-Orientierung)
• Meldepflichten, Fristen & Registrierung
• Lieferkette & Dienstleister: typische Angriffspfade + Absicherung
• Sanktionen & Management-Pflichten
• „Was muss ich jetzt tun?“: Schritt-für-Schritt-Einstieg
• Tipp: Warum ein ISMS nach ISO 27001 die Umsetzung erleichtern kann